CN114362980B - 协议挂登录账号识别方法、装置、计算机设备和存储介质 - Google Patents
协议挂登录账号识别方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114362980B CN114362980B CN202011039249.5A CN202011039249A CN114362980B CN 114362980 B CN114362980 B CN 114362980B CN 202011039249 A CN202011039249 A CN 202011039249A CN 114362980 B CN114362980 B CN 114362980B
- Authority
- CN
- China
- Prior art keywords
- account
- login
- data
- accounts
- logged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请涉及一种协议挂登录账号识别方法、装置、计算机设备和存储介质。方法包括:获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集;对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号;预设数据从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端预设数据改变登录终端上的登录账号的账号状态;监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果,以实现对协议挂登录账号的有效检测识别,便于提高账号安全、进行账号管理。
Description
技术领域
本申请涉及安全技术领域,特别是涉及一种协议挂登录账号识别方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,不法经营者为了提升自己的操作效率、降低运营成本,通常将使用的多个帐号,利用协议挂的方式在同一台PC(Personal Computer,个人计算机)设备上登录或者操作。协议挂指的是利用破解版的客户端,将本来只能在移动设备运行的软件,利用模拟器放在PC端运行,同时一个PC端可能同时运行了超过1个的客户端。
传统的技术,一般是通过硬件检测识别协议挂,判断一些不符合正常硬件条件的规则进行发现,例如,电池电量是否始终为100%等。
但模拟器会相对完整的模拟移动设备硬件环境,并且根据debug(消除故障)出来的判断规则对硬件条件进行修改,导致检测存在大量协议挂登录账号的漏检问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够实现协议挂登录账号有效识别的协议挂登录账号识别方法、装置、计算机设备和存储介质。
一种协议挂登录账号识别方法,方法包括:
获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集;
对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号;
从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态;
监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
一种协议挂登录账号识别装置,装置包括:
数据获取模块,用于获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集;
账号筛选模块,用于对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号;
数据下发模块,用于从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态;
账号监测模块,用于监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集;
对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号;
从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态;
监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集;
对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号;
从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态;
监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
上述协议挂登录账号识别方法、装置、计算机设备和存储介质,通过获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集,基于数据集进行相似性分析,进而筛选出已登录账号中的具有相似行为的待监测账号,实现对账号的初步筛选得到账号集,通过将预设数据下发至账号集中的随机选择的目标账号所在的登录终端,通过预设数据来改变登录终端上的登录账号的账号状态,通过监测账号集中账号的账号状态变化,以根据账号状态变化来判断账号集中的各账号的登录终端与该目标账号的登录终端是否为同一个,实现了对协议挂登录账号的有效检测识别,得到协议挂登录账号识别结果。
附图说明
图1为一个实施例中协议挂登录账号识别方法的应用环境图;
图2为一个实施例中协议挂登录账号识别方法的流程示意图;
图3为另一个实施例中协议挂登录账号识别方法的流程示意图;
图4为再一个实施例中协议挂登录账号识别方法的流程示意图;
图5为还一个实施例中协议挂登录账号识别方法的流程示意图;
图6为又一个实施例中协议挂登录账号识别方法的流程示意图;
图7为一个实施例中协议挂登录账号识别方法的架构流程示意图;
图8为另一个实施例中协议挂登录账号识别方法的流程示意图;
图9为再一个实施例中协议挂登录账号识别方法的流程示意图;
图10为一个实施例中协议挂登录账号识别装置的结构框图;
图11为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的协议挂登录账号识别方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。服务器104获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集,对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号,从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端102,以使登录终端102改变登录终端上的登录账号的账号状态,监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。服务器104可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。登录终端102可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。登录终端102以及服务器104可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
在一个实施例中,协议挂登录账号识别方法可以应用在云安全领域。云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
在一个实施例中,如图2所示,提供了一种协议挂登录账号识别方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤202至步骤208。
步骤202,获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集。
账号行为数据是指客户端与服务器之间的交互行为,包括交互请求的发送时间、交互内容等。在正常情况下,不同的账号是由不同的用户进行管理的,而用户操作是基于用户的主观行为产生的,即使是相同的交互需求,不同用户的操作时间也不可能完全相同。
在实施例中,记录的账号行为数据是指每一个账号最后一次登录产生的交互行为的记录数据。进一步地,服务器中可以通过记录参数配置,以记录每一个账号的当前次登录的账号行为数据,并在该账号断开连接后清除记录的账号行为数据,其中,清除的账号行为数据可以是直接删除,也可以是缓存至其他存储空间。以使得服务器获取的账号行为数据包括以各已登录账号最后一次登录时间为记录开始节点的行为数据。也就是说,仅包括当前次登录后产生的账号行为数据,以避免历史数据的干扰,提高数据可靠性。
而通过协议挂的方式,用户会利用破解版的客户端,将本来只能在移动设备运行的软件,利用模拟器放在PC端运行,同时一个PC端可能同时运行了超过1个的客户端。通过协议挂,用户可以通过一个终端同时挂载运行多个客户端,并基于相同的执行脚本,让该多个客户端同时执行该脚本,因此,该终端上运行的多个客户端,与服务器的交互行为存在相同或高度相似性。
已登录账号是指通过登录客户端与服务器建立连接的账号。用户可以通过预先注册的账号密码,通过在客户端进行账号登录,建立客户端与服务器之间的网络连接。
具体来说,服务器从交互数据记录日志文件中获取记录的账户行为数据,并基于各个已登录账号的账号,对获取的行为数据进行分类,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集,将同一已登录账号的账号行为数据归集至同一个数据集。在实施例中,数据集中的账户行为数据包括行为对应的请求对象、请求内容、请求发送时间以及请求发送设备标识、登录IP、设备电量信息等。
步骤204,对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号。
服务器以各个已登录账号对应的数据集为分析对象,得到各个数据集之间的相似性,具体来说,相似性分析可以通过聚类分析和相似度计算来实现。
在一个实施例中,如图3所示,对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号即步骤204包括步骤302至步骤304。
步骤302,对已登录账号对应的数据集进行聚类分析,得到聚类结果。
步骤304,将聚类结果中包含的已登录账号作为待监测账号。
在一个实施例中,通过对各个数据集进行聚类分析,得到相似性分析结果。其中,聚类分析具体可以通过K-Means聚类、均值偏移聚类算法、单滑动窗口的均值偏移聚类、DBSCAN聚类算法、使用高斯混合模型(GMM)的期望最大化(EM)聚类或层次聚类算法中的任意一种算法来实现。
通过聚类处理,将具有相似的账号行为的已登录账号划分到一起,聚类结果中的每一个聚类簇中的各个已登录账号之间具有较高的相似性。服务器可以根据聚类结果,将得到的聚类簇中的各个已登录账号作为一个账号集,该账号集中的各个已登录账号为待监测账号。
在另一个实施例中,还可以通过将相似度计算得到各个数据集之间的相似性。通过将数据集进行特征量化,计算量化特征之间的距离,如果距离小,那么相似度大;如果距离大,那么相似度小。其中,相似度计算可以通过闵可夫斯基距离、曼哈顿距离、欧氏距离、切比雪夫距离等方式中的任意一种来实现。
通过数据集的相似度分析,能够将具有相同或高度相似的行为的数据集归集到一起,实现各已登录账号的初步筛选和划分,确定出待监测账号,有效避免在监测过程中的“误伤”。
步骤206,从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态。
由于账号集中的各个待监测账号具有相同或高度相似的账号行为,因此,可以推测该账号集中的各个待监测账号可能是通过协议挂登录的嫌疑账号,通过账号集中随机选择一个目标账号,以进一步验证该账号集中的各个待监测账号是否是通过协议挂登录在同一个终端上。
在服务器中预先配置有可以在终端运行的预设数据,服务器只需要将预设数据下发至终端,终端在接收到预设数据后会自动执行该预设数据。其中,预设数据可以是用于改变终端与服务器之间的连接状态的程序,例如CPU超频程序。预设数据也可以是用于改变交互时延的程序,例如界面跳转延时程序的。通过预设数据,改变登录终端上的登录账号的账号状态,用于区分终端上的登录账号是否为协议挂登录账号。
步骤208,监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
由于通过登录客户端与服务器连接的账号数量非常多,在改变某个终端上的登录账号的账号状态之后,服务器不能直接从所有已登录账号中确定出该登录终端上的登录账号,但是,服务器可以以账号集中账号为监测对象,进一步筛选出更小的监测范围,因为待监测账号是具有相同或高度相似的账号行为的协议挂登录嫌疑账号,若待监测账号中存在部分或全部账号的账号状态变化相同,且符合预设的协议挂登录账号对应状态变化,则可以确定该部分或全部账号为协议挂登录账号。
上述协议挂登录账号识别方法,通过获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集,基于数据集进行相似性分析,进而筛选出已登录账号中的具有相似行为的待监测账号,实现对账号的初步筛选得到账号集,通过将预设数据下发至账号集中的随机选择的目标账号所在的登录终端,通过预设数据来改变登录终端上的登录账号的账号状态,通过监测账号集中账号的账号状态变化,以根据账号状态变化来判断账号集中的各账号的登录终端与该目标账号的登录终端是否为同一个,实现了对协议挂登录账号的有效检测识别,得到协议挂登录账号识别结果。
在一个实施例中,如图4所示,从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态。即步骤206包括步骤402至步骤406。
步骤402,从包括待监测账号的账号集中随机选择一个目标账号,拦截目标账号的请求数据。
步骤404,将预设数据添加至请求数据。
步骤406,将携带有预设数据的请求数据反馈至账号的登录终端,以使登录终端预设数据改变登录终端上的登录账号的账号状态。
在客户端与服务器正常的交互过程中,服务器会接收到账号所在的客户端发送的数据请求,然后对该数据请求进行数据处理,确定反馈给客户端的请求数据。服务器从账号集中选定目标账号之后,会拦截目标账号的请求数据的反馈进程,将预设数据添加至需要反馈至客户端的请求数据中,再将携带有预设数据的请求数据反馈至账号的登录终端。通过将预设数据添加到反馈的请求数据中,不会增加新的数据交互,避免终端对预设数据的拦截,以使得顺利将预设数据植入目标账号的登录终端。
在一个实施例中,预设数据用于使登录终端断开网络连接。如图5所示,监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果,即步骤208包括步骤502至步骤504。
步骤502,当监测到目标账号处于失联状态时,获取账号集中账号的账号状态监测结果。
步骤504,将账号状态监测结果为失联状态的账号标记为协议挂登录账号,得到协议挂登录账号识别结果。
预设数据可以是使登录终端断开网络连接的预设程序,服务器将预设程序下发至目标账号的登录终端后,该登录终端会自动触发该预设程序的运行,通过在登录终端运行该预设程序,会导致登录终端会断开网络连接。
此时,目标账号的账号状态必然会变为失联状态,而且,在登录终端上登录的各个账号的账号状态也会变为失联状态,通过监测并获取账号集中账号的账号状态监测结果,其中,账号状态变为失联状态的账号为协议挂登录账号,通过将失联状态的账号标记为协议挂登录账号,得到协议挂登录账号识别结果。
进一步地,在实施例中,在监测到账号集中处于失联状态的账号之后,可以通过处于失联状态的账号的数量,进一步判断是否协议挂登录账号。
具体来说,利用协议挂的方式在同一台PC设备上登录或者操作,通常一台PC至少可以支持16个帐号的批量操作。而如果用户在一台正常的移动设备上登录帐号时,至多只能同时登录2个帐号,所以如果PC设备关闭时,16个帐号会同时处于失联状态,而移动设备关闭时,只会有两个帐号处于失联状态。
当账号集中处于失联状态的账号的数量大于2时,则账号集中处于失联状态的账号均为协议挂登录账号。
在一个实施例中,预设数据包括CPU超频程序,CPU超频程序是指通过修改CPU数据处理逻辑来触发CPU过热保护,以断开CPU所在终端的网络连接的程序。
修改CPU数据处理逻辑具体可以是使CPU的某个数据处理进程进入死循环,导致CPU出现超频。CPU超频指的是通过将客户端运行指定的代码,导致CPU或者内存消耗增加,从而导致设备温度增高的现象。当设备温度升高到一定程度,会触发CPU的过热保护而中断所有程序的运行,例如,控制设备强制关机等或强制退出客户端运行等。过热保护指CPU或者内存消耗的增加,设备温度升高到阈值温度时,设备会自动关机以保护自身。
在一个实施例中,预设数据包括界面跳转延迟程序,界面跳转延迟程序用于使终端在发送数据请求后,数据请求对应请求界面的跳转时间延长。如图6所示,监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果,即步骤208包括步骤602至步骤604。
步骤602,监测账号集中账号的数据请求发送时间间隔。
步骤604,将数据请求发送时间间隔等于预设的标准时间间隔的账号标记为协议挂登录账号。
界面跳转延迟程序是指控制客户端的界面跳转的时间延长的程序。基于界面跳转延迟程序实现协议挂登录账号的识别的原理如下:
协议挂登录的账号,客户端与服务器的多次交互过程是不需要用户操作的,客户端通过执行预先配置的脚本,实现对多个账号的同步操作。协议挂登录的账号,其与服务器的多次交互过程不会受到每次交互结果的影响。如,在用户正常操作的情况下,第二次操作需要基于第一次操作的结果来实现,即在客户端展示第一次操作对应的界面之后,用户才会基于需求,进行下一步操作,因此,界面跳转延迟程序会导致总的耗时变长。而协议挂登录的账号,只需要执行第一次操作对应的接口调用、根据服务器反馈的请求数据,执行第二次操作的接口调用即可,不需要考虑反馈的请求数据对应的展示界面是否展示完全。因此,界面跳转延迟程序不会影响到总的耗时。
服务器通过将界面跳转延迟程序下发至目标程序的登录终端之后,登录终端自动运行该界面跳转延迟程序,服务器监测账号集中账号的数据请求发送时间间隔,将数据请求发送时间间隔等于预设的标准时间间隔的账号,即交互过程不受到终端界面跳转延迟的账号标记为协议挂登录账号。其中,预设的标准时间间隔是指账号集中账号的平均数据请求发送时间间隔,可以基于历史请求的时间间隔计算得到。
通过下发界面跳转延迟程序至目标账号的登录终端,在快速准确识别出账号集中的协议挂登录账号的同时,不会对终端的硬件造成影响。
在一个实施例中,对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号之后,还包括:当待监测账号的数量大于预设的允许登录账号数量时,构建包括待监测账号的账号集。当待监测账号的数量不大于预设的允许登录账号数量时,舍弃待监测账号。
通过在服务器中配置允许登录账号数量,是基于移动终端的可登录数量以及实际用户可同时操作的账号数量进行考量,避免对终端登录账号的“误伤”,例如,可以将允许登录账号数量配置为2或是其他数值。
本申请还提供一种应用场景,该应用场景应用上述的协议挂登录账号识别方法。具体地,该协议挂登录账号识别方法在该应用场景的应用如下:
在现行的风控对抗当中,不法经营者为了提升自己的操作效率、降低运营成本,通常将使用的多个帐号,利用协议挂的方式在同一台PC设备上登录或者操作,通常一台PC至少可以支持16个帐号的批量操作。而如果用户在一台正常的移动设备上登录帐号时,至多只能同时登录2个帐号,所以如果PC设备关闭时,16个帐号会同时处于失联状态,而移动设备关闭时,只会有两个帐号处于失联状态。手机上的APP,如微信或者QQ,在大量消耗CPU或者内存的时候,通常会带来手机温度的上升,温度过高的时候会触发自动关机保护,这个时候挂在手机上的微信或者QQ帐号就会出现失联的情况。而由于手机的限制,目前一般同一台移动设备只会登录有一个或者两个微信或者QQ帐号。这个时候如果设备出现关机时,失联的帐号只有1个或者2个。如果是PC的协议挂,为了追求效益,往往一台PC上会挂非常多的帐号,如果软件过载,导致PC自动关机,将会出现大量帐号在同一时间失联,这个时候就知道哪些帐号挂在了同一台PC上。从而识别出来这一批帐号使用了协议挂进行登录。
参见图7,具体的协议挂登录账号识别如下:
基于预先配置的风控策略判断检测到的已登录帐号是否可能是协议挂登录的嫌疑账号,其中可用的风控策略包括交互行为的相似度、登录IP的相似度、设备名称的相似度等策略,筛选出一批高嫌疑帐号。
服务器从嫌疑帐号随机选中一个帐号后,下发高耗能指令至该账号所在的登录终端,下发之后持续监测该登录终端的CPU的消耗,使其CPU的消耗始终在100%,超频状态下的CPU会大量散发热量,发热达到系统承受的阀值之后,就会启动自动关机机制,直到温度下降到适宜温度以下才会恢复。
登录终端断电之后,登录终端上登录的帐号会和服务器失去连接,而服务器发现该帐号失联后,对比该帐号所在的账号集中内其他帐号的账号状态,如果有大于2个以上的帐号同时处于失联状态时,即可判断账号集中的这些失联帐号使用了协议挂登录。通过对协议挂登录账号进行识别,有助于定位使用协议挂登录账号的不法经营者。
在一个实施例中,如图8所示,提供了一种协议挂登录账号识别方法,方法具体包括以下步骤802至步骤818。
步骤802,获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集。
步骤804,对已登录账号对应的数据集进行聚类分析,得到聚类结果。
步骤806,将聚类结果中包含的已登录账号作为待监测账号。
步骤808,当待监测账号的数量大于预设的允许登录账号数量时,构建包括待监测账号的账号集。
步骤810,从包括待监测账号的账号集中随机选择一个目标账号,拦截目标账号的请求数据。
步骤812,将CPU超频程序添加至请求数据。
步骤814,将携带有CPU超频程序的请求数据反馈至账号的登录终端,以使登录终端执行CPU超频程序断开网络连接。
步骤816,当监测到目标账号处于失联状态时,获取账号集中账号的账号状态监测结果。
步骤818,将账号状态监测结果为失联状态的账号标记为协议挂登录账号,得到协议挂登录账号识别结果。
在一个实施例中,如图9所示,提供了一种协议挂登录账号识别方法,方法具体包括以下步骤902至步骤918。
步骤902,获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集。
步骤904,对已登录账号对应的数据集进行聚类分析,得到聚类结果。
步骤906,将聚类结果中包含的已登录账号作为待监测账号。
步骤908,当待监测账号的数量大于预设的允许登录账号数量时,构建包括待监测账号的账号集。
步骤910,从包括待监测账号的账号集中随机选择一个目标账号,拦截目标账号的请求数据。
步骤912,将界面跳转延迟程序添加至请求数据。
步骤914,将携带有界面跳转延迟程序的请求数据反馈至账号的登录终端,以使登录终端执行界面跳转延迟程序,延长数据请求对应请求界面的跳转时间。
步骤916,监测账号集中账号的数据请求发送时间间隔。
步骤918,将数据请求发送时间间隔等于预设的标准时间间隔的账号标记为协议挂登录账号。
应该理解的是,虽然图2-6、图8-9的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-6、图8-9中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图10所示,提供了一种协议挂登录账号识别装置1000,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:数据获取模块1002、账号筛选模块1004、数据下发模块1006和账号监测模块1008,其中:
数据获取模块1002,用于获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集。
账号筛选模块1004,用于对已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从已登录账号中筛选出待监测账号。
数据下发模块1006,用于从包括待监测账号的账号集中随机选择目标账号,将预设数据下发至目标账号的登录终端,以使登录终端改变登录终端上的登录账号的账号状态。
账号监测模块1008,用于监测账号集中账号的账号状态变化,根据账号状态变化,得到协议挂登录账号识别结果。
在一个实施例中,数据下发模块还用于从包括待监测账号的账号集中随机选择一个目标账号,拦截目标账号的请求数据;将预设数据添加至请求数据;将携带有预设数据的请求数据反馈至账号的登录终端。
在一个实施例中,预设数据用于使登录终端断开网络连接;账号监测模块还用于当监测到目标账号处于失联状态时,获取账号集中账号的账号状态监测结果;将账号状态监测结果为失联状态的账号标记为协议挂登录账号,得到协议挂登录账号识别结果。
在一个实施例中,预设数据包括CPU超频程序,CPU超频程序是指通过修改CPU数据处理逻辑来触发CPU过热保护,以断开CPU所在终端的网络连接的程序。
在一个实施例中,预设数据包括界面跳转延迟程序,界面跳转延迟程序用于使终端在发送数据请求后,数据请求对应请求界面的跳转时间延长;账号监测模块还用于监测账号集中账号的数据请求发送时间间隔;将数据请求发送时间间隔等于预设的标准时间间隔的账号标记为协议挂登录账号。
在一个实施例中,协议挂登录账号还包括账号集构建模块,用于当待监测账号的数量大于预设的允许登录账号数量时,构建包括待监测账号的账号集;当待监测账号的数量不大于预设的允许登录账号数量时,舍弃待监测账号。
在一个实施例中,账号筛选模块,还用于对已登录账号对应的数据集进行聚类分析,得到聚类结果;将聚类结果中包含的已登录账号作为待监测账号。
上述协议挂登录账号识别装置,通过获取账号行为数据,根据账号行为数据所属的已登录账号,构建已登录账号对应的数据集,基于数据集进行相似性分析,进而筛选出已登录账号中的具有相似行为的待监测账号,实现对账号的初步筛选得到账号集,通过将预设数据下发至账号集中的随机选择的目标账号所在的登录终端,通过预设数据来改变登录终端上的登录账号的账号状态,通过监测账号集中账号的账号状态变化,以根据账号状态变化来判断账号集中的各账号的登录终端与该目标账号的登录终端是否为同一个,实现了对协议挂登录账号的有效检测识别,得到协议挂登录账号识别结果。
关于协议挂登录账号识别装置的具体限定可以参见上文中对于协议挂登录账号识别方法的限定,在此不再赘述。上述协议挂登录账号识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储登录账号的账号行为数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种协议挂登录账号识别方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种协议挂登录账号识别方法,其特征在于,所述方法包括:
获取账号行为数据,根据所述账号行为数据所属的已登录账号,构建所述已登录账号对应的数据集;所述账号行为数据包括以各已登录账号最后一次登录时间为记录开始节点的行为数据;
对所述已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从所述已登录账号中筛选出具有相似的账号行为的多个待监测账号;
从包括所述待监测账号的账号集中随机选择目标账号,将预设数据下发至所述目标账号的登录终端,以使所述登录终端改变所述登录终端上的登录账号的账号状态;
监测所述账号集中账号的账号状态变化,若监测到所述待监测账号中存在部分或全部账号的账号状态变化相同,且符合预设的协议挂登录账号对应状态变化,则确定所述部分或全部账号为协议挂登录账号。
2.根据权利要求1所述的方法,其特征在于,所述从包括所述待监测账号的账号集中随机选择目标账号,将预设数据下发至所述目标账号的登录终端包括:
从包括所述待监测账号的账号集中随机选择一个目标账号,拦截所述目标账号的请求数据;
将所述预设数据添加至所述请求数据;
将携带有所述预设数据的请求数据反馈至所述目标账号的登录终端。
3.根据权利要求1所述的方法,其特征在于,所述预设数据用于使所述登录终端断开网络连接;
所述若监测到所述待监测账号中存在部分或全部账号的账号状态变化相同,且符合预设的协议挂登录账号对应状态变化,则确定所述部分或全部账号为协议挂登录账号包括:
当监测到所述目标账号处于失联状态时,获取所述账号集中账号的账号状态监测结果;
将所述账号状态监测结果为失联状态的账号标记为协议挂登录账号。
4.根据权利要求3所述的方法,其特征在于,所述预设数据包括CPU超频程序,所述CPU超频程序是指通过修改CPU数据处理逻辑来触发CPU过热保护,以断开CPU所在终端的网络连接的程序。
5.根据权利要求1所述的方法,其特征在于,所述预设数据包括界面跳转延迟程序,所述界面跳转延迟程序用于使所述终端在发送数据请求后,所述数据请求对应请求界面的跳转时间延长;
所述监测所述账号集中账号的账号状态变化,若监测到所述待监测账号中存在部分或全部账号的账号状态变化相同,且符合预设的协议挂登录账号对应状态变化,则确定所述部分或全部账号为协议挂登录账号包括:
监测所述账号集中账号的数据请求发送时间间隔;
将所述数据请求发送时间间隔等于预设的标准时间间隔的账号标记为协议挂登录账号。
6.根据权利要求1所述的方法,其特征在于,所述对所述已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从所述已登录账号中筛选出具有相似的账号行为的多个待监测账号之后,还包括:
当所述待监测账号的数量大于预设的允许登录账号数量时,构建包括所述待监测账号的账号集;
当所述待监测账号的数量不大于预设的允许登录账号数量时,舍弃所述待监测账号。
7.根据权利要求1所述的方法,其特征在于,所述对所述已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从所述已登录账号中筛选出具有相似的账号行为的多个待监测账号包括:
对所述已登录账号对应的数据集进行聚类分析,得到聚类结果;
将所述聚类结果中包含的已登录账号作为待监测账号。
8.一种协议挂登录账号识别装置,其特征在于,所述装置包括:
数据获取模块,用于获取账号行为数据,根据所述账号行为数据所属的已登录账号,构建所述已登录账号对应的数据集;所述账号行为数据包括以各已登录账号最后一次登录时间为记录开始节点的行为数据;
账号筛选模块,用于对所述已登录账号对应的数据集进行相似性分析,根据相似性分析结果,从所述已登录账号中筛选出具有相似的账号行为的多个待监测账号;
数据下发模块,用于从包括所述待监测账号的账号集中随机选择目标账号,将预设数据下发至所述目标账号的登录终端,以使所述登录终端改变所述登录终端上的登录账号的账号状态;
账号监测模块,用于监测所述账号集中账号的账号状态变化,若监测到所述待监测账号中存在部分或全部账号的账号状态变化相同,且符合预设的协议挂登录账号对应状态变化,则确定所述部分或全部账号为协议挂登录账号。
9.根据权利要求8所述的装置,其特征在于,所述数据下发模块,还用于从包括所述待监测账号的账号集中随机选择一个目标账号,拦截所述目标账号的请求数据;将所述预设数据添加至所述请求数据;将携带有所述预设数据的请求数据反馈至所述目标账号的登录终端。
10.根据权利要求8所述的装置,其特征在于,所述预设数据用于使登录终端断开网络连接;
所述账号监测模块,还用于当监测到所述目标账号处于失联状态时,获取所述账号集中账号的账号状态监测结果;将所述账号状态监测结果为失联状态的账号标记为协议挂登录账号。
11.根据权利要求10所述的装置,其特征在于,所述预设数据包括CPU超频程序,所述CPU超频程序是指通过修改CPU数据处理逻辑来触发CPU过热保护,以断开CPU所在终端的网络连接的程序。
12.根据权利要求8所述的装置,其特征在于,所述预设数据包括界面跳转延迟程序,界面跳转延迟程序用于使终端在发送数据请求后,数据请求对应请求界面的跳转时间延长;
所述账号监测模块还用于监测所述账号集中账号的数据请求发送时间间隔;将所述数据请求发送时间间隔等于预设的标准时间间隔的账号标记为协议挂登录账号。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括账号集构建模块,用于当所述待监测账号的数量大于预设的允许登录账号数量时,构建包括所述待监测账号的账号集;当所述待监测账号的数量不大于预设的允许登录账号数量时,舍弃所述待监测账号。
14.根据权利要求8所述的装置,其特征在于,所述账号筛选模块,还用于对所述已登录账号对应的数据集进行聚类分析,得到聚类结果;将所述聚类结果中包含的已登录账号作为待监测账号。
15.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
16.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011039249.5A CN114362980B (zh) | 2020-09-28 | 2020-09-28 | 协议挂登录账号识别方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011039249.5A CN114362980B (zh) | 2020-09-28 | 2020-09-28 | 协议挂登录账号识别方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114362980A CN114362980A (zh) | 2022-04-15 |
CN114362980B true CN114362980B (zh) | 2023-07-28 |
Family
ID=81089660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011039249.5A Active CN114362980B (zh) | 2020-09-28 | 2020-09-28 | 协议挂登录账号识别方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114362980B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114733207B (zh) * | 2022-05-12 | 2023-08-01 | 深圳爱玩网络科技股份有限公司 | 一种基于特征分析的游戏账号监测分析预警管理系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108038130A (zh) * | 2017-11-17 | 2018-05-15 | 中国平安人寿保险股份有限公司 | 虚假用户的自动清理方法、装置、设备及存储介质 |
CN109302394A (zh) * | 2018-09-29 | 2019-02-01 | 武汉极意网络科技有限公司 | 一种终端防模拟登录方法、装置、服务器及存储介质 |
CN110619210A (zh) * | 2019-08-27 | 2019-12-27 | 苏宁云计算有限公司 | 一种模拟器检测方法及系统 |
CN111010365A (zh) * | 2019-10-12 | 2020-04-14 | 中国平安财产保险股份有限公司 | 基于登录数据的外挂检测方法、装置和计算机设备 |
CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
-
2020
- 2020-09-28 CN CN202011039249.5A patent/CN114362980B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108038130A (zh) * | 2017-11-17 | 2018-05-15 | 中国平安人寿保险股份有限公司 | 虚假用户的自动清理方法、装置、设备及存储介质 |
CN109302394A (zh) * | 2018-09-29 | 2019-02-01 | 武汉极意网络科技有限公司 | 一种终端防模拟登录方法、装置、服务器及存储介质 |
CN110619210A (zh) * | 2019-08-27 | 2019-12-27 | 苏宁云计算有限公司 | 一种模拟器检测方法及系统 |
CN111010365A (zh) * | 2019-10-12 | 2020-04-14 | 中国平安财产保险股份有限公司 | 基于登录数据的外挂检测方法、装置和计算机设备 |
CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114362980A (zh) | 2022-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230300164A1 (en) | User and entity behavioral analysis with network topology enhancement | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
US9369476B2 (en) | System for detection of mobile applications network behavior-netwise | |
US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
CN112422484B (zh) | 确定用于处理安全事件的剧本的方法、装置及存储介质 | |
US7506056B2 (en) | System analyzing configuration fingerprints of network nodes for granting network access and detecting security threat | |
US20140201843A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
CN105100032B (zh) | 一种防止资源盗取的方法及装置 | |
US20140181968A1 (en) | Monitoring Operational Activities In Networks And Detecting Potential Network Intrusions And Misuses | |
US20200120122A1 (en) | Multi-dimensional periodicity detection of iot device behavior | |
Chekina et al. | Detection of deviations in mobile applications network behavior | |
US20220060510A1 (en) | System and method for aggregating and securing managed detection and response connection interfaces between multiple networked sources | |
CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
EP3895048B1 (en) | Systems and methods for behavioral threat detection | |
US11558401B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
CN110365674A (zh) | 一种预测网络攻击面的方法、服务器和系统 | |
WO2023014497A1 (en) | Network access anomaly detection via graph embedding | |
CN111131170A (zh) | 主机审计系统的客户端策略处理方法 | |
US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
CN114362980B (zh) | 协议挂登录账号识别方法、装置、计算机设备和存储介质 | |
CN110430158B (zh) | 采集代理部署方法及装置 | |
US20210373953A1 (en) | System and method for an action contextual grouping of servers | |
CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
CN109327433B (zh) | 基于运行场景分析的威胁感知方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |